Internet Explorer : une faille qui touche toutes les versions de Windows
Pour la sortie de son Patch Tuesday du mois d’octobre, Microsoft livre des mises à jour concernant l’ensemble des outils de l’environnement Windows. Parmi les failles prises en compte par ce correctif, il y en a une particulièrement inquiétante, elle touche toutes les versions de Windows, de Vista à Window 10 et s’exécute à travers Internet Explorer.
Cette faille touche toutes les versions de Windows allant de Vista à Windows 10 et permet d’exécuter du code à distance via Internet Explorer. Le problème vient de la façon dont IE gère les objets en mémoire. Comme le précise Microsoft, si un hacker exploite cette faille, il pourra accéder à la machine et disposer des mêmes droits que ceux de l’utilisateur authentifié. Un hacker pourrait donc facilement installer des programmes à distance ou voler des données. Pour exploiter cette faille, il suffit de disposer d’un site web comprenant des pages piégées ou alors de compromettre un site légitime, en affichant des contenus comportant un script malveillant.
Microsoft précise que le navigateur Edge n’est pas concerné, mais que les éditions Serveur sont vulnérables.
Toutefois, leur mode de sécurité avancé permet d’atténuer les risques d’attaques.
Pour colmater cette faille critique d’Internet Explorer, Microsoft propose un patch utilisable sur toutes les versions de Windows. Les autres failles critiques qui ont été détectées concernent des failles dans VBSript et JScript, ainsi que des risques d’exécution de code arbitraire à distance dans Windows Shell.
Une faille importante a également été détectée sur Word, un des logiciels de la suite bureautique Microsoft Office. Cette faille touche les versions 2007, 2010 et 2013 du célèbre logiciel de traitement de texte et permet d’exécuter du code à distance. Il est donc vivement conseillé d’appliquer le Patch Tuesday si vous utilisez les produits Microsoft concernés.
Le bulletin synthétique sur le site de Microsoft est à retrouver ici.